* [devel] QA: device access policy (was Re: [mdk-re] (fwd) ALTLinux Антирут :) @ 2002-01-04 18:33 ` Dmitry V. Levin 2002-01-04 18:56 ` [devel] QA: device access policy Michael Shigorin 0 siblings, 1 reply; 2+ messages in thread From: Dmitry V. Levin @ 2002-01-04 18:33 UTC (permalink / raw) To: devel, ALT Linux Spring mailing list [-- Attachment #1: Type: text/plain, Size: 1972 bytes --] On Fri, Jan 04, 2002 at 06:54:05PM +0200, Michael Shigorin wrote: > > > работе с mtools (с/на ДОСовой дискетки хочу файлы скинуть) > > > оно пишет не хватает прав? А? Не, можно, конечно (наверное :)) > > Кто-нибудь может подтвердить или опровергнуть? > Есть подозрение (телепатическое), что дело было от юзера, > добавленного после установки и _не_ посредством userdrake => не > попавшего в группу floppy. В принципе, нюансы различного > поведения adduser и userdrake хорошо бы где-то задокументировать > в книжечке, заодно сославшись и на /etc/security/console.perms и > на pam_console(8). Возможно. Эта ситуация напоминает мне аналогичный вопрос, возникший недавно при работе с /dev/audio. На самом деле, это вопрос policy, и есть варианты поведения по умолчанию: 1. При создании пользователей автоматически заносить их в группу XXX. Членам группы XXX предоставлять доступ к устройству /dev/XXX. Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время владения консолью, лишая доступа к этому устройству членам группы XXX на это же время. 2. При создании пользователей не заносить их автоматически в группу XXX, предоставив выбор администратору. Членам группы XXX предоставлять доступ к устройству /dev/XXX. Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время владения консолью, сохраняя доступ к этому устройству членам группы XXX. Сейчас у нас в основном действует первый вариант (хотя не все утилиты заносят пользователей в группу XXX), в то время как мне кажется более разумным второй вариант. Какие будут соображения? Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.ru/ Fandra Project http://www.fandra.org/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 2+ messages in thread
* Re: [devel] QA: device access policy 2002-01-04 18:33 ` [devel] QA: device access policy (was Re: [mdk-re] (fwd) ALTLinux Антирут :) Dmitry V. Levin @ 2002-01-04 18:56 ` Michael Shigorin 0 siblings, 0 replies; 2+ messages in thread From: Michael Shigorin @ 2002-01-04 18:56 UTC (permalink / raw) To: devel, ALT Linux Spring mailing list [-- Attachment #1: Type: text/plain, Size: 1843 bytes --] On Fri, Jan 04, 2002 at 09:33:37PM +0300, Dmitry V. Levin wrote: > На самом деле, это вопрос policy, и есть варианты поведения по умолчанию: Безусловно. > 1. При создании пользователей автоматически заносить их в группу XXX. > Членам группы XXX предоставлять доступ к устройству /dev/XXX. > Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время > владения консолью, лишая доступа к этому устройству членам группы XXX > на это же время. "recommended"? > 2. При создании пользователей не заносить их автоматически в группу XXX, > предоставив выбор администратору. > Членам группы XXX предоставлять доступ к устройству /dev/XXX. > Владельцу консоли отдавать устройство /dev/XXX в распоряжение на время > владения консолью, сохраняя доступ к этому устройству членам группы > XXX. "expert"? > Сейчас у нас в основном действует первый вариант (хотя не все утилиты > заносят пользователей в группу XXX), в то время как мне кажется более > разумным второй вариант. Какие будут соображения? Плюс задокументировать в руководстве. Тогда все должны остаться довольны :) (нет, я понимаю, что этого не бывает в принципе ;) PS: долго соображал и дважды успел поменять recommended и expert местами. Но в итоге решил, что новичок имеет меньше шансов запустить две X-сессии с xmms или работать с флопом от двух себя; в то же время у меня почему-то исторически выходит вариант 2 (машина многопользовательская). Вообще pam_console, по моему впечатлению, создавалась как "скорая помощь" _однопользовательским_ (чуть утрирую) системам без создания существенных проблем с безопасностью. А вот группы характерны для многопользовательских, где администрирование волей-неволей приводит к более быстрому набору опыта :) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ http://visa.chem.univ.kiev.ua/~mike/ [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2002-01-04 18:56 UTC | newest] Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2002-01-04 18:33 ` [devel] QA: device access policy (was Re: [mdk-re] (fwd) ALTLinux Антирут :) Dmitry V. Levin 2002-01-04 18:56 ` [devel] QA: device access policy Michael Shigorin
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git